Valve führt den Steam Guard Mobile Authenticator ein

Bild von Denis Michel
Denis Michel 108213 EXP - Freier Redakteur,R10,S1,C1,A8,J10
Platin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtGold-Gamer: Hat den GamersGlobal-Rang 20 erreichtIdol der Massen: Hat mindestens 10.000 Kudos bekommenExtrem-Schreiber: Hat mindestens 1000 News geschriebenTop-News-Meister: Hat mindestens 500 Top-News geschriebenSilber-Jäger: Hat Stufe 10 der Jäger-Klasse erreichtSilber-Reporter: Hat Stufe 10 der Reporter-Klasse erreichtBronze-Jäger: Hat Stufe 5 der Jäger-Klasse erreichtBronze-Archivar: Hat Stufe 5 der Archivar-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtDiskutierer: Hat 1000 EXP durch Comments erhalten

17. Juli 2015 - 11:45

Mit dem Steam Guard Mobile Authenticator hat Valve eine zusätzliche Schutzmethode für euren Steam-Account eingeführt. Nach dem Beta-Test steht diese Möglichkeit nun für alle zur Verfügung. Für die Nutzung setzt der Entwickler ein Smartphone mit iOs- oder Android-Betriebssystem, die Installation der Steam-App, sowie die Verknüpfung des Handy-Gerätes mit dem Steam Account voraus.

Die App könnt ihr über iTunes, Google-Play oder Amazon App-Store beziehen. Ist diese eingerichtet, steuert im Menü den Punkt „Steam Guard“ an, wechselt in die Einstellungen, wählt dort die neue Option „Steam Guard-Codes auf dem Smartphone erhalten“ aus und folgt den weiteren Anweisungen auf dem Display. Nach der Einrichtung des Mobile Authenticators fragt Steam beim Einloggen neben den üblichen Login-Daten auch den Einmal-Code ab, den ihr via App im Menü „Steam Guard“ generiert.

Solltet ihr diese Schutzmethode nutzen, empfiehlt es sich dringend Backup-Codes zu generieren, um im Falle des Handy-Verlustes Zugang zum Steam-Account zu erhalten. Die Backup-Codes könnt ihr in eurem Steam-Profil bekommen. Klickt dafür auf euren Namen (rechts oben) und wählt „Accountdetails“ aus. Auf der rechten Seite findet ihr die „Steam-Guard-Verwaltung“, in der sich die entsprechende Option verbirgt. Die Codes solltet ihr anschließend sicher verwahren und nicht an Dritte weitergeben.

Mantarus 16 Übertalent - P - 4782 - 17. Juli 2015 - 11:55 #

Wieder mal keine Umsetzung fürs WP ....

Faerwynn 17 Shapeshifter - P - 6688 - 17. Juli 2015 - 11:59 #

Für ~5% der User? Würde ich mir auch überlegen, ob sich es sich lohnt die Resourcen für die paar User auszugeben.

Mantarus 16 Übertalent - P - 4782 - 17. Juli 2015 - 12:02 #

Es würde wahrscheinlich keine Mannjahre dauern so eine App zu machen.
Und 5% sind 5%. Warum darauf verzichten?

Inso 15 Kenner - P - 3560 - 17. Juli 2015 - 12:08 #

5% würde schon bedeuten das WP-User doppelt so oft die Steam-App installieren wie Android- oder iOS-User - der Marktanteil liegt aktuell bei mageren 2,5%.

Baumkuchen 15 Kenner - 2795 - 17. Juli 2015 - 12:09 #

Es gäbe auch viel mehr WP-Nutzer, wenn man wenigstens mal die (für mich ;) ) gängigsten Anwendungen umwandeln würde!

Wie gerne würde ich mir noch eines der letzten neuen Nokia Lumia 1020 Restposten (oder wenigstens ein 930) schnappen, statt wegen irgendwas mal wieder auf ein Android angewiesen zu sein!

Hoffe das wird sich mit der neuen Windows 10 Entwicklungsumgebung wirklich ändern, aber ich bezweifle das irgendwie noch...

Maik 20 Gold-Gamer - - 21510 - 17. Juli 2015 - 12:19 #

Win10 kann für Firmen interessant werden, die dann alle Geräte in einer homogenen Landschaft haben. Mir begegnet jedenfalls Interesse zu diesem Thema. Wenn also Microsoft nicht beim Privatkunden reinkommt, dann vielleicht in den Unternehmen. Das wäre nach und nach auch eine grö0ere Zahl.

CptnKewl 20 Gold-Gamer - - 22493 - 17. Juli 2015 - 12:39 #

da kenne ich nur Unternehmen, die auf Surfaces setzten. Das kann ich noch verstehen, WP ist Tot. MS als einziger Hersteller, kaum Apps = Todesspirale. Wenn Nutzer ihre Apps nicht finden, kaufen Sie die Plattform nicht.

Zille 18 Doppel-Voter - P - 10736 - 17. Juli 2015 - 20:47 #

Das kann ich nicht bestätigen. Windows Phone ist einfach und hat eine gute Office-Integration. Außerdem kosten die Telefone vergleichsweise wenig. Ein Unternehmen will doch gar nicht, dass der User zig Apps auf das Firmenhandy spielt.

In meiner Firma wird gerade alles auf WP umgestellt. Du solltest vielleicht mal ein aktuelles unter diesen Gesichtspunkten ausprobieren. Mein Firmen-Lumia 630 gefällt mir weit besser, als das Blackberry vorher. Und wer auf seinem Firmenhandy viel Zusatzsoftware istalliert, verdient eh etwas auf die Finger ;-)

Gerade für Unternehmen lohnen sich meiner Meinung nach diese Mobiltelefone. Der Kosten-/Nutzenfaktor ist wirklich sehr gut.

Maulwurfn Community-Moderator - P - 13885 - 17. Juli 2015 - 21:04 #

Ich nutze WP seit Release des ersten Lumia und habe das zu keiner Zeit bereut.

Hedeltrollo 16 Übertalent - P - 5177 - 18. Juli 2015 - 10:20 #

Die dennoch zahlende Kunden sind. Valve macht ja auch auf Linux. Und wenn ich das richtig sehe, wird Valve irgendwann auch TOTP unterstützen. Dann kann man auch andere Apps damit koppeln.

Hyperlord 15 Kenner - P - 2949 - 17. Juli 2015 - 12:04 #

Wollts auch grad sagen, eier ich halt mit drei Apps rum (Live-Tile, Center, Chat - Letztere sogar gekauft) ...

PraetorCreech 15 Kenner - P - 3425 - 17. Juli 2015 - 14:32 #

Ist man ja leider gewöhnt. Dabei wäre eine Universal App doch so schön. Könnte ich den Authenticator auf dem gleichen Win8 Rechner ausführen, auf dem auch Steam läuft... und das Sicherheitskonzept komplett aushebeln ;)

Thomas Barth 21 Motivator - 27449 - 18. Juli 2015 - 8:48 #

Jetzt nachdem Microsoft die Smartphone-Sparte abgeschrieben und die Marke outgesourced hat, verschwendet man als Entwickler bestimmt keine Ressourcen auf so etwas wie Windows Phone.

Inso 15 Kenner - P - 3560 - 17. Juli 2015 - 11:56 #

Meine Steam-App am Handy gängelt mich schon seit Wochen, das einzurichten. Ich halt es allerdings für Blödsinn, jeden Tag mit dem Handy und dem Code rumzudoktern - man hat uns immerhin schon gezwungen die EMail-Authentikation einzurichten um mal was verschenken zu können, warum sollte ich jetzt bei _jedem_ Login nochmal nen Code eingeben, nur weil ich am gleichen Rechner wie jeden Tag mein Steam hochfahre..

Maik 20 Gold-Gamer - - 21510 - 17. Juli 2015 - 12:16 #

Ich hoffe, das es nicht mal Standard wird, da ich kein Smartie habe und haben will.

Noodles 21 Motivator - P - 30220 - 17. Juli 2015 - 12:56 #

Da wären sie ja schön blöd, wenn sie auf einmal Leute ohne Smartphone aus Steam aussperren würden.

Drapondur 25 Platin-Gamer - - 55866 - 17. Juli 2015 - 16:55 #

Same here. Aber kann ich mir nicht vorstellen. Sie können ja keinen zwingen sich ein Smartphone anzuschaffen. Es sein denn das Steam-Smartphone. :)

Thomas Barth 21 Motivator - 27449 - 18. Juli 2015 - 8:54 #

Ähm, das ist bei vielen bereits Standard. Google, Facebook, die Sparkasse, Microsoft, Apple wahrscheinlich auch... Alle großen setzen mittlerweile auf eine Authentifizierung per Smartphone, um sich sicher zu gehen, dass sich auch der richtige einloggt. Alles andere wird mit der Zeit optional und abgeschafft.

Toxe 21 Motivator - P - 26116 - 17. Juli 2015 - 12:21 #

Prinzipiell erstmal 'ne gute Sache, funktioniert bei zB. Blizzard ja auch.

Ob ich es einrichte glaube ich aber erstmal nicht.

Stephan Windmüller 17 Shapeshifter - P - 6836 - 17. Juli 2015 - 13:31 #

Wieso schon wieder eine Insellösung? Es gibt doch bereits einen standardisierten Authenticator, der u.a. für Google, Facebook, GitHub, Dropbox oder WordPress funktioniert. Die habe ich alle in einer einzigen App.

Boris 15 Kenner - P - 3940 - 17. Juli 2015 - 16:46 #

Noch schlimmer: eigentlich ist es TOTP, aber der generierte Code wird wohl anders dargestellt als ueblich damit er zu den normalen SteamGuard-Codes passt. Sagt zumindest diese Seite von jemanden der es in seine App eingebaut hat.

https://winauth.com/2015/06/11/steam-guard-mobile/

Aladan 21 Motivator - - 28706 - 17. Juli 2015 - 14:34 #

Also ich nutze allgemein schon Authentificator, aber bei Steam? Ne danke..

Aiex 16 Übertalent - 4334 - 17. Juli 2015 - 14:56 #

Backup-Codes sind schon wieder eine zusätzliche Sicherheitslücke.

Stephan Windmüller 17 Shapeshifter - P - 6836 - 17. Juli 2015 - 15:04 #

Wieso? Die speichert man im Passwort-Manager und gut ist.

Boris 15 Kenner - P - 3940 - 17. Juli 2015 - 17:07 #

Aber damit untergraebt man wohl die zusaetzliche Sicherheit durch die Trennung von Systemen wo man das Passwort eingibt (PC) und denen wo es die zusaetzlichen Codes gibt (eigentlich das Telefon, so aber ebenfalls PC). Zumindest wenn der Passwort-Manager auf dem gleichen PC laeuft. Wobei das Speichern in einem Passwort-Manager natuerlich immer noch besser ist als sie unverschluesselt auf die Platte zu legen ;-)
Darueber sollte man sich im klaren sein wenn man das macht. Hilft ja so immer noch gegen anderweitig abgeschnorchelte Passwoerter.

Meiner Meinung nach ist das Lagern der Codes auf einem Stueck Papier eine gute Wahl wenn man sie wirklich nur fuer den Notfall braucht.

Stephan Windmüller 17 Shapeshifter - P - 6836 - 17. Juli 2015 - 17:27 #

Prinzipiell gebe ich Dir recht, aber: Eine Trennung ist in diesem Fall eh nicht vorhanden, da die Steam-App auf dem Telefon ebenfalls die Zugangsdaten kennt. Das ist ja kein reiner TAN-Generator, sondern ein Steam-Client mit Chat-Funktion und ähnlichem.

Boris 15 Kenner - P - 3940 - 17. Juli 2015 - 17:39 #

Du hast natuerlich Recht. Genau das gleiche habe ich auch gerade gedacht als ich mich gerade einloggen musste um es mal auszuprobieren. Wollte mich noch korrigieren aber da bist du mir zuvorgekommen :-)

Aber immerhin habe ich mir zu dem Anlass mal rausgesucht wie ich den Blizzard Authenticator Code in meine normale OTP-App bekomme.

Stephan Windmüller 17 Shapeshifter - P - 6836 - 17. Juli 2015 - 17:45 #

Das geht? Ich bin ganz Ohr.

Boris 15 Kenner - P - 3940 - 18. Juli 2015 - 7:35 #

Ja, das ist ein normaler 8-stelliger TOTP, man braucht also nur eine App die 8-stellige Codes erlaubt. Das Problem ist nur an das benutzte Secret zu kommen, das ist ein wenig Bastelei.
Mit Android geht das auf jeden Fall, man muss den "AUTH_STORE.HASH" aus den Settings auslesen. Das kann man es aus einem "adb backup" auslesen (oder wenn man root ist). Dieser "Hash", muss dann noch demaskiert und in seine Einzelteile zerlegt werden. Dafuer habe ich ein ruby-Skript gefunden (indem auch in den Kommentaren beschrieben ist wie genau dieser Wert aufgebaut ist).

https://gist.github.com/stbuehler/8616943

Ich weiss nicht ob man bei iphones auch so einfach an die Klartext-Einstellungen kommt. Auf jeden Fall muesste man auch ueber den Restore-Code und den Webservice von Blizzard an die Daten kommen (das ist der Weg den der Blizzard-Authenticator selber beim Restore benutzt). Habe ich mich nicht weiter mit beschaeftigt, aber winauth scheint sowas implementiert zu haben:

https://github.com/winauth/winauth/blob/master/Authenticator/BattleNetAuthenticator.cs

Stephan Windmüller 17 Shapeshifter - P - 6836 - 18. Juli 2015 - 8:02 #

Klingt machbar. Allerdings scheint der Schritt "eine App die 8-stellige Codes" doch komplizierter zu sein. Hast Du da einen Link?

Boris 15 Kenner - P - 3940 - 18. Juli 2015 - 10:21 #

Das koennte in der Tat das komplizierteste oder aufwendigste sein wenn man so eine App noch nicht benutzt. Dann muss man ja alle Accounts da reinbekommen, also im schlimmsten Fall alles neu einrichten.

Ich benutze FreeOTP von Red Hat (https://fedorahosted.org/freeotp/). Gibts es fuer Android und ios. Da ist das mit den 8-stelligen Codes ueberhaupt kein problem, kann man einfach einstellen und wenn man einen entsprechenden QR-Code, wie er z.B. aus dem Skript purzelt, scannt dann geht es natuerlich auch automatisch.

Hedeltrollo 16 Übertalent - P - 5177 - 18. Juli 2015 - 10:30 #

FreeOTP kann das:
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=de

Edit: Ach, wurde ja schon genannt. Das kommt davon, wenn das Antwort-Formular ein paar Minuten zu lang offen ist und man nichts mitbekommt.

Hedeltrollo 16 Übertalent - P - 5177 - 18. Juli 2015 - 10:48 #

Genial! Funktioniert einwandfrei. Meine Linuxkiste konnte nur den QR-Code nicht generieren, weil irgendein Paket fehlt. Aber dazu gibt es ja auch separate Tools, die das erledigen können.

Boris 15 Kenner - P - 3940 - 18. Juli 2015 - 11:11 #

Schoen, dass es schon hilfreich fuer jemanden war.
Fuer den QR-Code muss man "qrencode" installiert haben (in Debian heisst das Paket auch genau so), aber selber mit einem anderen Tool generieren geht natuerlich auch.

Stephan Windmüller 17 Shapeshifter - P - 6836 - 18. Juli 2015 - 22:24 #

Bei mir jetzt auch. Habe mir mal die Freiheit genommen, eine Anleitung zu schreiben:

https://windmüller.de/solutions-blog/?p=163

Jadiger 16 Übertalent - 4890 - 17. Juli 2015 - 18:41 #

Ich verschlüssel einfach mein Passwort mit Raw und ab 8 Stellen brauchen selbst große Multi Gpu Server Jahre für Bruteforce.
Im Grunde kannst den Pc Hacken trotzdem kommst nicht an die Passwörter.

Aiex 16 Übertalent - 4334 - 17. Juli 2015 - 18:41 #

Du hast den Sinn von Zwei-Faktor-Authentifizierung verstanden
ja[ ]
nein[x]

Stephan Windmüller 17 Shapeshifter - P - 6836 - 17. Juli 2015 - 19:21 #

Ob Du es glaubst oder nicht, ich habe das sogar studiert und im letzten Semester eine Vorlesung gehalten, in der es auch um Authentifikation und Autorisierung ging.

Zum einen habe ich ja weiter oben schon erläutert, dass der Zwei-Faktor-Gedanke hier eingeschränkt ist, da die Steam-App über beide Faktoren verfügt.

Zum anderen kommt es darauf an, wie der Password-Manager eingesetzt wird. Verwendet der Nutzer ein einfach zu merkendes Kennwort, braucht er den Passwort-Manager gar nicht zu starten und die Sicherheitscodes sind außerhalb der Angriffsreichweite. Oder aber der Passwort-Manager läuft auf einem ganz anderen Gerät/Computer als der Login.

Wo ich Dir recht gebe ist die Gefahr, dass der Passwort-Store geknackt wird, weil dann beide Faktoren offenliegen. Das ist aber eh der GAU, weil dann z.B. auch Zugriff auf Mail-Konten möglich sein kann, mit denen man eh alles zurücksetzen kann.

gar_DE 16 Übertalent - P - 5790 - 17. Juli 2015 - 19:25 #

Nun ja, wenn man verschiedene Passwörter für Steam und den Passwort-Manager verwendet, dann noch die Passwörter verschlüsselt, ist das schon eine Art mehr-Faktor-Authentifikation...

Labrador Nelson 27 Spiele-Experte - - 86537 - 17. Juli 2015 - 16:32 #

Irgendwie find ich sowas umständlich. Ab und zu zur Verifizierung ists ok, aber nicht als Standard-Einwahl regelmäßig. Ich nutze ja auch Goggle-Authenticator oder das Pendant von Paypal, wobei mir auch mal passiert ist, dass der SMS-Server oder die Mobile-App genau in dem Moment nicht funktioniert hat, als es den Code zustellen sollte. Da kannste dann wahnsinnig werden. Entweder funktioniert sowas immer oder gar nicht. Unzuverlässigkeit ist echt tödlich für so ne Technologie. Wie gesagt, an sich find ichs aber trotzdem eher umständlich.

Boris 15 Kenner - P - 3940 - 17. Juli 2015 - 17:03 #

Bei den Codes die Google benutzt muss eigentlich nur die Systemzeit weitestgehend in Ordnung sein (+-1min oder so), ansonsten kann da eigentlich nichts schief gehen. Wenn man online ist, holte sich der alte Google Authenticator sogar die aktuelle Zeit von einem Google-Server um falsch-gehende Uhren auszugleichen, wuerde vermuten dass der aktuelle das auch noch macht, aber der ist nicht mehr Open Source.
Bei Paypal koennte das Verfahren fehleranfaelliger sein, das habe ich nie benutzt.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)